エンタープライズ:ニュース 2002/11/14 22:26:00 更新


完全性チェック抜きのコンパイルは危険――tcpdumpなどにトロイの木馬の恐れ

CERT/CCは米国時間の11月13日、フリーのパケットキャプチャツール「tcpdump」と、パケットをキャプチャするためのライブラリである「libpcap」に、トロイの木馬が仕込まれている恐れがあると警告した。

 CERT/CCは米国時間の11月13日、ネットワークの障害解析などに利用されているフリーのパケットキャプチャツール「tcpdump」と、パケットをキャプチャするためのライブラリである「libpcap」に、トロイの木馬が仕込まれている恐れがあることを警告した。

 トロイの木馬が混入している恐れがあるのは、日本時間に直すと11月11日午前1時前後に「http://www.tcpdump.org/」よりダウンロードされたソースコードだ。配布元では11月13日よりトロイの木馬入りバージョンのダウンロードを停止しているが、ミラーサイトにはまだ残っている可能性もある。

 11日前後にソースコードダウンロードを行っている場合は、MD5チェックサムを検証するべきだ。ファイルサイズや問題の報告者が、正しいソースコードとトロイの木馬入りソースコードのMD5チェックサムを公開している。CERT/CCでも同様に、MD5を用いて、そのソースコードが正当なものかどうかを確認するよう推奨している。

 なお、もしこのトロイの木馬入りバージョンをダウンロードし、コンパイルしてしまうと、幾つかのステップを経て、外部ホストへの接続を試みようとする。この接続がユーザーにばれないようにする細工も施されており、最悪の場合、攻撃者がマシンにリモートからアクセスし、コンパイルを行ったユーザーの権限でプログラムなどを実行する可能性もある。

 報告者も指摘しているが、この件は、7月末にOpenSSHにトロイの木馬が仕掛けられたケースを思い起こさせるものだ。10月にはSendmailでも、ソースコードにトロイの木馬が仕掛けられた可能性が警告されている。

 問題のないtcpdumpとlibpcapはSourceForge.netよりダウンロード可能だ。だがかつてのように、提供者の善意を信じて、ダウンロードしたものをそのままコンパイルするといったやり方は、もう通用しなくなっているのかもしれない。今後、何らかのプログラムのソースコードやパッケージをダウンロードするときは、いかなる場合においてもMD5チェックサム、あるいはPGP署名などを用いて、それが正しいものかどうかを確認するべきだろう。

関連記事
▼Sendmailソースコードにトロイの木馬
▼Tips for Linux:OpenSSHに仕掛けられたトロイの木馬を判別するには?

関連リンク
▼CERT Advisory CA-2002-30 Trojan Horse tcpdump and libpcap Distributions
▼CERT Incident Note IN-2001-06 :Verification of Downloaded Software

[ITmedia]



Special

- PR -

Special

- PR -